Deepfakes et identité

Paradoxalement, la pièce d'identité, qui semble être un trou béant de sécurité vu qu'il est facile de trafiquer une photo, sera facile à protéger puisque les Etats incluent une puce électronique que l'on pourra interroger par NFC avec nos portables.

Il ne sera pas question d'utiliser la photo imprimée de la pièce d'identité, mais plutôt de lire le fichier dans la puce, qui sera électroniquement signé, et donc on sera sûr de son origine.

On pourra éventuellement vérifier en plus que la photo imprimée est conforme à la photo enregistrée dans la puce, histoire de rendre la vie difficile aux fraudeurs, jamais en reste d'idées.

Encore faudra-t-il que les systèmes utilisent effectivement cette puce électronique, et qu'il n'existe pas de "porte dérobée" ou d'une procédure de secours au cas où la puce ne réponde pas : il est alors facile de détruire la puce électronique afin de contourner tout ça. Un minimum de chose sera exigible, et une pièce d'identité fonctionnelle parait un minimum.

Nos passeports sont à présent biométriques, avec une puce électronique. Nos cartes françaises d'identité sont en passe de le devenir aussi, ce qui permettra effectivement d'ouvrir les portes d'une identification à distance. Mais cela ne sera pas la seule condition.

Le problème est nettement plus difficile en ce qui concerne le selfie.

Nous avons au moins deux grosses questions :

1. Comment être sûr que l'on utilise effectivement la caméra du smartphone ? Autrement dit, que le flux vidéo est correct, alors que l'on sera sur le smartphone de l'utilisateur, un endroit particulièrement vulnérable aux attaques.
2. Comment être sûr que l'on filme le vrai visage d'une personne réelle ? Et pas une photo, ou un écran où on passe un film.

La première question aura une réponse électronique/informatique, c'est un problème de sécurité classique. Cela pourrait être une réponse du genre de la puce TPM qui est souvent ajoutée dans nos PCs, et qui est la racine de sécurité -elle contient un secret que l'on vérifiera. On pourrait alors "certifier" une caméra en la reliant à cette puce, chose qui n'est pas faite de nos jours. Les solutions techniques existent, mais le coût d'implémentation les rendent difficilement exigibles regardez le temps qu'il a fallu pour unifier les chargeurs de smartphone, alors que ça n'était qu'une misérable prise mécanique, indispensable de surcroît.

La réponse à la seconde question est connue depuis des lustres, même si elle ne possède pas d'implémentation définitive qui règle le problème.

C'est ce que l'on appelle la détection du vivant.

C'est un problème bien connu pour moi, vous trouverez des détails sur mon site consacré à la biométrie, à Aliveness detection / La détection du vivant. Vu que je suis de bonne, bonne humeur ce matin ya des matins comme ça je vais vous résumer ici les diverses voies de recherche concernant la reconnaissance faciale. Mais je vous conseille d'aller voir au moins la page d'introduction, follow the link, c'est en english.

La peau possède une réflectivité particulière bien connue.

La principale difficulté est que l'on ne maitrise pas :

• Les caractéristiques spectrales de la caméra, mais bon, ces dernières années, nos smartphones possèdent des caméras de plus en plus performantes, ça ne sera peut-être pas un problème si terrible. Sauf si on pousse le vice à vouloir utiliser des caméras dans le proche infra-rouge, cela aura un coût.
• L'environnement lumineux sera un très gros problème, car il faudra que ça marche au soleil, sous un éclairage artificiel, voire sous la Lune. Et là, même avec un flash intégré, c'est très loin d'être gagné au pire, on pourrait au moins s'assurer que vous n'êtes pas un Schtroumpf.

Si on arrive à vérifier qu'il y a effectivement un petit cœur qui bat sous cette façade rugueuse, cela serait déjà un bon point vers la vérification que vous êtes bien vivant.

Il existe deux techniques pour extraire le rythme cardiaque en filmant votre visage, et toutes les deux utilisent de l'IA 😁 :

1. On mesure les variations de couleur de la peau. Je vois d'ici les mauvaises langues qui vont dire que l'environnement lumineux va nous gêner, sans compter l'utilisation abusive de couches de maquillage.
2. On mesure les micro-mouvements provoqués par votre muscle cardiaque. En fait, vous bougez imperceptiblement (pour un humain) la tête à chaque battement de cœur. Et là, je suis d'accord avec ceux qui vont me dire que ça peut marcher en labo, mais dans le TGV, ce n'est pas gagné surtout si la SNCF coupe la lumière pour faire des économies.

C'est certainement la solution qui sera mise en œuvre en premier, car elle est assez facile et relativement efficace.

Il s'agit simplement de proposer un challenge, aléatoire (sinon, c'est trop facile de préparer les réponses à l'avance), du genre :

• Tourner/lever/baisser la tête en haut, en bas, à gauche, à droite...
• Cligner des yeux, fermer l'œil droit ou le gauche...
• Prononcer un mot aléatoire: on vérifiera la concordance avec le mouvement des lèvres, on pourra coupler avec de la reconnaissance de la voix.
• Faites votre grimace préférée non je déconne. Quoique.

Une autre contre-mesure très étudiée est de détecter si une photo ou une vidéo a été trafiquée.

Diverses techniques sont proposées, comme :

• Analyser les fréquences spatiales, vérifier la cohérence sur toute l'image
• Analyser la dynamique de luminosité dans un flux vidéo, une certaine cohérence doit être respectée
• Détecter les artéfacts introduits par les logiciels de deepfake. Par exemple, il existe nécessairement des raccords dans le cas d'un remplacement de visage, ça se détecte.